Para ayudarnos a realizar esta cuenta coste-beneficio y hablar de los riesgos de vivir en hogar cada vez más “smart", en esta edición de OFF entrevistamos a uno de los mayores expertos globales en ciberseguridad: Alejandro Romero, cofundador de Constella Intelligence, (líder mundial en la protección contra riesgos digitales), profesor en Sciences Po y asesor de numerosos gobiernos y empresas como Telefónica Tech. 

VULNERABLES:

Los riesgos de vivir rodeado de objetos conectados

P. ¿Le preocupa a un experto en ciberseguridad como tú la multiplicación de los objetos conectados en los hogares por las vulnerabilidades que suponen?

R. Hay 3 principales fuentes de riesgos que los usuarios quizás no conocen lo suficientemente bien:

1) Los dispositivos conectados, y en especial aquellos que interactúan con los usuarios de forma natural como Alexa, capturan un volumen muy relevante de información personal, la cual podría verse expuesta a terceros en el futuro –si esos dispositivos son hackeados o si por error su información es expuesta.

2) Los dispositivos conectados, si son vulnerados por hackers, permiten tomar el control de una parte de nuestros hogares, es decir, de nuestras vidas.

3) Incluso si los dispositivos conectados son seguros, la realidad es que son gestionados por humanos que pueden ser engañados usando técnicas habituales de phishing, o similares que proporcionen un acceso y control no deseado a esos dispositivos.

P. ¿Cómo de fácil es hackear este tipo de objeto inteligente? ¿Ayuda la IA a automatizar y/o escalar este tipo de ataque?

R. Todos los dispositivos y objetos conectados tienen un elemento en común: dependen de software instalado en esos mismos dispositivos o en la nube. Ya sabemos que cualquier tipo de software plantea siempre un desafío de seguridad.

La facilidad o dificultad en hackear un software depende de infinidad de factores, en especial cuando hablamos de miles de millones de dispositivos de múltiples fabricantes y tecnologías. Al mismo tiempo sabemos ya que cualquier software es susceptible de ser hackeado y en eso los dispositivos conectados no son diferentes.

La IA va a definitivamente ayudar a hacerlos más vulnerables – ya puede identificar y proponer cómo atacar software o puede producir su propio código de software para atacar a un dispositivo y ayudar en la orquestación de un ataque.

P. ¿Podemos confiar en la big tech tanto como para dejarles invadir tan profundamente nuestros hogares? 

R. Nos enfrentamos ya, desde hace más de 20 años, a ese problema: hemos aceptado proporcionar grandes volúmenes de datos personales y sensibles a un grupo relativamente pequeño de compañías tecnológicas globales.

Sabemos ya que la auto-regulación, la acción benevolente y voluntaria de estas empresas para gestionar ellas mismas los problemas derivados de su actividad no es suficiente. Es complicado que las compañías condicionen sus resultados económicos con sus propias decisiones de auto-regulación. En muchos casos, por ejemplo, con empresas chinas como TikTok esta posibilidad se descarta directamente por el férreo control que las autoridades chinas ejercen sobre las compañías tecnológicas. 

Quizás no debamos plantear este complejo problemas en términos de confianza, sino desde un ángulo diferente, similar al que están adoptando las autoridades en Europa:

• ¿Cuáles son las garantías que debemos aportar a los ciudadanos que usan estos servicios? 

• ¿Qué obligación de reportar sus actividades deben tener estas compañías? 

• ¿Hasta qué punto son responsables de las consecuencias que se derivan del uso de sus servicios?

P. Aunque los smartphones ya recopilen una cantidad abismal de datos, a nivel de intimidad los smart objects parecen abatir una barrera más que protege nuestra intimidad. ¿Te preocupa también que puedan sentar las bases para generalizar progresivamente un tipo de vigilancia estatal siguiendo el modelo chino/orweliano? 

R. Creo que es importante no pensar que los dispositivos conectados son algo aislado… ¡están conectados! Es decir, se van a integrar en el ecosistema digital en el que ya vivimos y van a producir un efecto de red relevante por su elevado volumen.

Hay ya casos preocupantes donde las grandes compañías tecnológicas han actuado como mediadores entre los ciudadanos y los gobiernos que desean acceder a esos datos. Mi impresión es que estas situaciones van a continuar y debemos valorar hasta qué punto son los ciudadanos realmente conscientes de estos peligros.

P. ¿Qué puedo hacer a nivel personal? ¿Realmente se compensan los riesgos de estos dispositivos con la comodidad que pueden brindar? ¿Te parece razonable la recomendación de no conectar las infraestructuras básicas de tu hogar –a menos que sea imprescindible? 

R. No estoy seguro de que podamos, simplemente con nuestra decisión personal, gestionar estos riesgos. Pensemos que nuestro vecino podría instalar un timbre inteligente con cámara y micrófono que va a vulnerar nuestra intimidad de igual forma.

Pero sí es posible también gestionar, como en todo riesgo, el uso de estas tecnologías, por ejemplo: 

• Aislando nuestra red doméstica de otras redes (configurando una red wifi de invitados para los dispositivos domésticos IoT)  

• Forzando a que todos los dispositivos y teléfonos inteligentes estén protegidos con contraseña (Contraseñas seguras que sean difíciles de descifrar y, sobre todo, no usando contraseñas que sean fáciles de adivinar).

• Cambiando el nombre de usuario y la contraseña predeterminados en el router. Utilizar siempre la autenticación WPA para crear una red segura. 

• Usar firewalls en cualquier ordenador y router. La mayoría de los routers tienen un firewall integrado en su hardware, pero primero debe ser habilitado por el usuario. 

• Siempre ejecutar los parches y actualizaciones de seguridad y mantener nuestro software actualizado. El software obsoleto tiene vulnerabilidades que son fáciles de explotar para los piratas informáticos.

P. A nivel de regulación, ¿recomiendas algo específico en relación con los objetos conectados en el hogar o crees que podemos apoyarnos en el arsenal legislativo más general que se está desarrollando?  

R. El Digital Markets Act (DMA) de la Unión Europea es probablemente la política digital más avanzada del mundo y tiene como objetivo ampliar el poder de negociación de la UE contra las empresas de plataformas centrales unificando las reglas de la economía digital de los Estados miembros y llevando a cabo investigaciones de mercado a nivel de la UE que pueden conducir a sanciones por comportamiento no conforme. Todavía está por verse si la Comisión Europea podrá hacer cumplir esta Ley. 

A principios de 2022, la Comisión Europea publicó los resultados de su investigación del sector de la competencia sobre el Internet de las cosas (IoT) y señaló preocupaciones muy similares a las que hemos venido comentando hasta ahora. Un factor importante que debemos tener en cuenta en relación con la regulación es su impacto en la innovación, es decir, si restringimos con regulaciones excesivamente fuertes a las compañías podemos impactar de forma no controlada en su capacidad de innovar.

Como consumidor me gustaría mucho poder entender de forma sencilla y amigable en todo momento:

• qué datos se están almacenando;

• dónde geográficamente se están almacenando;

• para qué se están usando, si se están cediendo a terceros ;

• hasta qué punto el dispositivo inteligente está siendo o ha sido atacado en algún momento. 

Todo lo anterior es técnicamente posible, y en gran medida muchos de estos puntos son o van a ser cubiertos por la legislación, si bien, para el usuario medio, creo que aún no es sencillo acceder y entender en su totalidad esta información. 

Los riesgos de vivir en un hogar "smart"